Cómo proteger a tus usuarios de brechas en certificados digitales

En las últimas semanas, DigiNotar, una Autoridad de Certificación holandesa, ha estado en las noticias después de haber sufrido una violación en julio. Esta fue una noticia importante porque demostró un problema de seguridad muy grave que podría afectar a todos en línea. Esto sucedió apenas unos meses después de un evento similar anterior, donde una subsidiaria de Comodo también fue víctima de una violación y se emitieron certificados falsos. Aquí, explicaremos brevemente lo que sucedió, algunos conceptos básicos sobre cómo funcionan los certificados y qué pueden hacer los profesionales de TI para proteger a sus usuarios de estas violaciones y otras similares.

¿Qué es un certificado SSL?

Primero, probablemente sepas que para que ocurra una conexión SSL, se necesita un certificado. Estos certificados no se pueden emitir por sí solos, de lo contrario, no serán confiables para nadie. Estos se llaman Certificados Autofirmados y no tienen utilidad en entornos de producción. En cambio, un administrador que desea crear un sitio seguro creará lo que se llama una Solicitud de Firma de Certificado (CSR), que tiene información muy específica sobre el sitio que ejecutan, su identidad como individuo o empresa y su información de contacto. Luego, transmiten esa solicitud a una Autoridad de Certificación (CA) confiable.

Jerarquía de Certificados

Esa CA, o a menudo una de sus subsidiarias, generará el certificado firmado usando su propia clave privada, después de verificar que estás autorizado para tener un certificado para ese nombre de dominio. A su vez, su propio certificado puede ser confiable por una CA superior, lo que a su vez es confiable en todos los navegadores web populares. Eso es lo que se llama una Jerarquía de Certificados.

El problema de la seguridad

LibreCAD: Una aplicación CAD de código abierto y gratuita para Windows

Y ahí es donde radica el problema. Hay cientos de tales CAs confiables en nuestros navegadores y cada una de ellas puede producir certificados para cualquier sitio web en la web. Esto significa que si alguna de ellas es pirateada y su clave privada se libera en la red, el hacker puede crear un certificado para cualquier sitio web que desee y todos nuestros navegadores lo verán como válido. Además, pueden hacer certificados para cualquier uso, incluyendo la firma de correos electrónicos, la encriptación de conexiones VPN, etc.

Protegiéndose contra estas vulnerabilidades

Pero, ¿cuál es el vector de ataque en este caso? Para poder utilizar dicho certificado, el hacker necesitaría interceptar el tráfico e insertar su propio certificado falso en un ataque de Hombre-en-el-Medio (MitM). Eso es exactamente lo que sucedió con DigiNotar. El gobierno iraní tiene servidores proxy a través de los cuales todo el tráfico del país pasa. Con ese certificado, significaba que podían acceder de repente a todas las cuentas de Gmail de los usuarios, cuentas bancarias o cualquier otra conexión encriptada que quisieran, ya que tenían la clave privada de una autoridad confiable y luego podían emitir Solicitudes de Firma de Certificado para cualquier sitio web que desearan.

Medidas para mitigar la amenaza

Mientras tanto, hay cosas que se pueden hacer. Primero, si te encuentras en un lugar seguro donde se espera que las personas solo visiten sitios muy específicos, no tiene sentido que sus navegadores confíen en la oficina de correos de Hong Kong, la autoridad de certificación de China o los muchos otros lugares en los que confía actualmente su navegador. Puedes eliminar manualmente la confianza en todo excepto en las principales CA.

Además, existen extensiones que realizan una verificación sitio por sitio para garantizar que los certificados no se cambien sin motivo. Una de esas extensiones es CertPatrol para Firefox. Cada vez que visitas un sitio web seguro, almacena la huella digital del certificado. Luego, cuando regresas, compara el certificado actual con el que almacenó. Te alertará si algo sospechoso ocurrió. Por ejemplo, si el certificado de un sitio aún tenía 6 meses antes de caducar y de repente se cambió, eso puede ser sospechoso. Peor aún, si visitaste un sitio que estaba firmado por VeriSign y ahora está firmado por una empresa noruega que nunca has oído hablar, eso es una gran señal de alerta.

Tutorial: Cómo convertir un diseño web minimalista de Photoshop a HTML

Otra medida de seguridad útil fue algo que los desarrolladores de Chrome agregaron. Todos los sitios de Google están firmados por algunas autoridades confiables y Chrome los reconoce. Por ejemplo, Chrome no te permitirá conectarte a Gmail si está firmado por la CA equivocada. Si tu organización utiliza Google Apps, esta puede ser una buena razón para cambiar a Chrome.

Finalmente, es importante recordar que este tipo de problema de seguridad no tiene que ser solucionado en un solo lugar. Para aprovecharlo, los hackers también tienen que inyectarse de alguna manera, ya sea en las computadoras de los usuarios a través de malware, en tu red rompiendo los firewalls o cambiando los servidores DNS de tus usuarios. Cada uno de estos vectores de ataque debe ser asegurado. Hay cosas que puedes hacer, como establecer direcciones estáticas en tus servidores DNS para los sitios a los que tus usuarios acceden con frecuencia, como empresas colaboradoras, portales de nóminas, etc., lo que evitará que alguien utilice un certificado falso para engañar a alguien y conectar con el sitio equivocado.

Conclusión

La violación de DigiNotar volverá a ocurrir. Con cientos de CAs confiables en todo el mundo, es un objetivo tentador y los hackers nunca se dan por vencidos. Pero incluso si estas entidades son pirateadas, no significa que tú o tu organización tengan que ser vulnerables. Al realizar algunas de las acciones mencionadas, puedes reducir en gran medida la posibilidad de que tal problema afecte a tus usuarios.

También te puede interesar:

  • Conoce cómo funcionan la cifración SSL/TLS y el estafador del lote vacío
  • Administración de Autoridades de Certificación SSL en OS X

Construye tu propio sistema operativo con Raspberry Pi: ¡Explora tu creatividad!

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Software empresarial, allí encontraras muchos artículos similares a Cómo proteger a tus usuarios de brechas en certificados digitales , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.